VPN 필터 (VPN Filter)

I. 마이크로 기기 공격, VPN 필터

내부 정보 수집을 위해 소규모 라우터, 스토리지 장비를 감염시키는 모듈기반 멀웨어 악성코드

  • NAS, 스위치 대상 우크라이나 중심 전세계적 감염

 

II. VPN 필터의 공격 절차 및 기술요소

가.  VPN 필터의 공격 절차

[1단계] 감염[2단계] 정찰[3단계] 모듈투입
– 초기 감염
– 영구 저장
– 내부 정보수집
– 자기 파괴
– 모듈 다운로드
– 모듈 기능 수행

– 3단계 진행 시 Modbus SCADA 프로토콜 수집 및 토르 익명화 등 다양한 기능 모듈 다운로드

나. VPN 필터를 구현하는 기술 요소

구분기술요소설명
내부 정보
수집
Port Scan– TCP/UDP 0 ~ 65536 port
패킷 스니핑– packet capture, tcpdump
악성 모듈Modbus SCADA– 산업 정보 수집
토르 익명화– 패킷 암호화, 추적 불가
  • 악성코드 분석 시도 시 자기 파괴 수행 Kill Switch 보유

 

III. VPN 필터 대응방안

단기적 대응 방안장기적 대응 방안
– 정기적 기기 재기동, Reset
– 관리자 패스워드 변경
– 관리용 WAN Port Close
– 펌웨어 업데이트
– 원격 관리 비활성화
– Well-known Port 기본차단
  • 최근 해킹을 위해 서브 네트워크와 C&C 서버 설치, 50만대 이상 감염으로 큰 파장 우려되므로 대응 필요

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^